Richiedere app client approvate o criteri di protezione delle app
Gli utenti usano spesso i dispositivi mobili sia per le attività personali che per quelle di lavoro. Assicurandosi che il personale possa essere produttivo, le organizzazioni vogliono anche impedire la perdita di dati dalle applicazioni nei dispositivi che potrebbero non gestire completamente.
Con l'accesso condizionale, le organizzazioni possono limitare l'accesso alle app client approvate (con supporto per l'autenticazione moderna) con i criteri di protezione delle app di Intune. Per le app client meno recenti che potrebbero non supportare i criteri di protezione delle app, gli amministratori possono limitare l'accesso alle app client approvate.
Avviso
I criteri di protezione delle app sono supportati su iOS e Android dove le applicazioni soddisfano requisiti specifici. I criteri di protezione delle app sono supportati su Windows in anteprima solo per il browser Microsoft Edge. Non tutte le applicazioni supportate come applicazioni approvate supportano i criteri di protezione delle applicazioni. Per un elenco di alcune app client comuni, vedere Requisiti dei criteri di protezione delle app. Se l'applicazione non è presente nell'elenco, contattare lo sviluppatore dell'applicazione. Per richiedere app client approvate o applicare criteri di protezione delle app per i dispositivi iOS e Android, questi dispositivi devono prima registrarsi in Microsoft Entra ID.
Nota
Richiedere uno dei controlli selezionati in controlli di concessione è simile a una clausola OR . Viene usato nella politica per consentire agli utenti di utilizzare le app che supportano i criteri di protezione delle app richiesti o controlli concessione app client approvate. Imposizione dei criteri di protezione delle app è applicata quando l'app supporta tale controllo.
Per altre informazioni sui vantaggi dell'uso dei criteri di protezione delle app, vedere l'articolo Panoramica dei criteri di protezione delle app.
I criteri seguenti vengono inseriti in modalità Solo Report inizialmente, per permettere agli amministratori di determinare l'impatto che avranno sugli utenti esistenti. Quando gli amministratori sono a proprio agio che i criteri si applicano come previsto, possono passare a Sì o preparare la distribuzione aggiungendo gruppi specifici ed escludendo altri.
Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili.
La procedura seguente consente di creare criteri di accesso condizionale che richiedono un'app client approvata o un criterio di protezione delle app quando si usa un dispositivo iOS/iPadOS o Android. Questo criterio impedisce l'uso dei client Exchange ActiveSync usando l'autenticazione di base nei dispositivi mobili. Questo criterio funziona in combinazione con un criterio di protezione delle app creato in Microsoft Intune.
Le organizzazioni possono scegliere di distribuire questo criterio usando la procedura seguente o i modelli di accesso condizionale.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale.
- Selezionare Crea nuovo criterio.
- Dai un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Includi selezionare Tutti gli utenti.
- In Escludi, selezionare Utenti e gruppi ed escludere almeno un account per evitare che l'utente venga bloccato. Se non si escludono account, non è possibile creare i criteri.
- Includi Risorse di destinazione> (precedentemente app cloud)>, selezionare Tutte le risorse (precedentemente "Tutte le app cloud").
- In Condizioni>Piattaforme del dispositivo, impostare ConfigurasuSì.
- In Includere, scegliere Selezionare le piattaforme dei dispositivi.
- Scegliere Android e iOS.
- Selezionare Fatto.
- In Controlli di accesso>Concedi selezionare Concedi accesso.
- Selezionare Richiedi app client approvata o Richiedi criteri di protezione delle app
- Per più controlli selezionare Richiedi uno dei controlli selezionati
- Conferma le impostazioni e imposta Attiva criterio su Solo report.
- Selezionare Crea per creare e abilitare il criterio.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'opzione Attiva politica da Solo report ad Attiva.
Suggerimento
Le organizzazioni devono anche distribuire un criterio che blocchi l'accesso da piattaforme di dispositivi non supportate o sconosciute insieme a questo criterio.
Bloccare Exchange ActiveSync in tutti i dispositivi
Questo criterio impedisce a tutti i client Exchange ActiveSync di connettersi a Exchange Online tramite l'autenticazione di base.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passare a Protezione>Accesso condizionale.
- Selezionare Crea nuovo criterio.
- Dare un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
- In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
- In Includi selezionare Tutti gli utenti.
- In Escludi, selezionare Utenti e gruppi ed escludere almeno un account per evitare che l'utente venga bloccato. Se non si escludono account, non è possibile creare i criteri.
- Selezionare Fatto.
- In Risorse di destinazione>(in precedenza app cloud)>Includi selezionare Seleziona risorse.
- Selezionare Office 365 Exchange Online.
- Selezionare Seleziona.
- In Condizioni>app client, impostare Configura su Sì.
- Deselezionare tutte le opzioni ad eccezione di Exchange ActiveSync clients.
- Selezionare Fatto.
- In Controlli di accesso>Concedi selezionare Concedi accesso.
- Selezionare Richiedi criteri di protezione delle app
- Conferma le impostazioni e imposta Abilita criterio su Solo segnalazione.
- Selezionare Crea per abilitare la tua politica.
Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono modificare l'impostazione Abilita policy da Solo report ad Attiva.